Privacy, un avvio soft nella p.a.
Ok al regolamento come base per trattare dati particolari; aggiornamento dei vecchi regolamenti sui dati sensibili; nelle more, prorogatio dei vecchi regolamenti. Sono le precisazioni fornite dal Garante della privacy in una nota del 27 novembre 2018 indirizzata alla presidenza del consiglio dei ministri, alla presidenza della Conferenza delle regioni e delle province autonome e alla presidenza dell'Associazione nazionale comuni italiani.
La nota è diventata necessaria per risolvere alcuni dei numerosi problemi di interpretazione del decreto legislativo 101/2018, che dovrebbe, al contrario., armonizzare l'ordinamento italiano al Regolamento Ue sulla privacy 2016/679. Per sopperire a questi disguidi nel settore della pubblica amministrazione, il Garante ha stabilito che un regolamento di un ente pubblico (titolare di potestà regolamentare normativa) può individuare i casi in cui è ammesso il trattamento dei dati particolari (ex dati sensibili). Il Garante della privacy, infatti, con un suo chiarimento (adunanza del 21 novembre 2018) ha disinnescato una situazione di potenziale blocco dell'attività di tutte le pubbliche amministrazioni. In materia, un articolo del dlgs 101/2018 sembra restringere le ipotesi in cui la p.a. può autodeterminare quando può trattare dati particolari e ciò, a prima lettura, parrebbe essere possibile nelle sole ipotesi in cui la legge preveda espressamente un rinvio a un regolamento. Ma il Garante ha optato per un'interpretazione che dà spazio di manovra alle p.a., le quali, però, devono aggiornare i propri regolamenti sul trattamento dei dati sensibili (diventano regolamenti sui dati particolari). Fino ad allora valgono i regolamenti già adottati.
IL REGOLAMENTO UE - Il 25 maggio 2018 è diventato operativo in Italia il Regolamento Ue 2016/679 sulla protezione dei dati. Solo il 19 settembre 2018 è entrato in vigore il cosiddetto decreto di armonizzazione n. 101/2018. Questo decreto è stato scritto con la tecnica della modifica del testo del vecchio Codice della privacy, rimasto in vita seppure bucherellato. Da qui sono sorti immediatamente difficoltà di lettura e di coordinamento. Non solo: su molti problemi cruciali il decreto 101/2018 non fa altro che ribaltare l'onere di trovare una armonia a carico del Garante della privacy e anche delle imprese e delle p.a.
DATI PARTICOLARI NELLA P.A. - Così sta capitando, per molte ragioni, in relazione ai trattamenti di dati da parte delle pubbliche amministrazioni (si veda ItaliaOggi Sette del 12 novembre 2018). Una criticità concerne i casi in cui un ente può trattare dati particolari (politici, sindacali, religiosi, filosofici, etnici, razziali, sanitari, sessuali, genetici e biometrici). Il comma 2 dell'art. 2-sexies, del Codice della privacy, introdotto dal dlgs n. 101/2018, dispone che i trattamenti in questione sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, «nei casi previsti dalla legge», di regolamento. In sostanza sembrerebbe necessaria una legge, alla quale sola sarebbe demandato di prevedere, nei singoli casi, quando un trattamento può essere disciplinato con fonte regolamentare. Il Garante ha rilevato che una interpretazione di questo tipo rischia di irrigidire eccessivamente la disciplina delle categorie di dati particolari, poiché pare mettere al bando i casi in cui la p.a. abbia individuato con proprio regolamento i casi di trattamenti di dati particolari predetti. Ma c'è un'alternativa allo stallo. Così il Garante: gli enti titolari, in base a disposizioni di legge, di potestà regolamentare avente carattere normativo (con esclusione, quindi, dei soggetti titolari di potestà regolamentare a rilevanza meramente interna), potranno continuare a individuare, con tale fonte, trattamenti di particolari categorie di dati personali e di dati relativi a condanne penali e reati. Per i soggetti sprovvisti di potestà regolamentare in senso proprio, invece, sarà l'amministrazione di riferimento, titolare dei poteri di vigilanza, indirizzo e controllo sugli stessi, a disciplinare, con proprio regolamento, il trattamento di particolari categorie di dati personali e di dati relativi a condanne penali e reati.
AGGIORNAMENTO - È auspicabile, nota il Garante, l'aggiornamento dei regolamenti per il trattamento dei dati sensibili e giudiziari già adottati dai soggetti pubblici in attuazione dell'articolo 20 del codice della privacy. Ciò è opportuno, precisa il Garante, anche in ragione dell'estensione dell'ambito applicativo di tale disciplina ai soggetti privati che trattino particolari categorie di dati, per motivi di interesse pubblico rilevante, nelle materie previste.
NELLE MORE - In ogni caso, nelle more dei pur opportuni aggiornamenti, conclude il Garante devono peraltro intendersi tuttora applicabili i vigenti regolamenti sui trattamenti di dati sensibili e giudiziari adottati secondo la disciplina previgente (articolo 20, comma 2 del Codice della privacy).
Fonte: Italia Oggi del 7 dicembre 2018 - Articolo di Antonio Ciccia Messina
